MSC 拡張子によって拡散している Rhadamanthys インフォスティーラー Posted By ATCP , 2025년 02월 24일 AhnLab SEcurity intelligence Center(ASEC)は、Rhadamanthys インフォスティーラーが MSC 拡張子ファイルで配布されていることを確認した。MSC 拡張子は、Microsoft Management Console(MMC)により実行される XML ベースのフォーマットであり、スクリプトコードおよびコマンドの実行またはプログラム実行などの様々なタスクを登録して実行することができる。…
Google Docs を C2 として活用する ACRStealer インフォスティーラー Posted By ATCP , 2025년 02월 24일 ASEC(AhnLab SEcurity intelligence Center)では、Crack および Keygen などの違法プログラムに偽装して配布されているインフォスティーラーマルウェアをモニタリングし、関連する動向および変化を Ahnlab TIP(AhnLab Threat Intelligence Platform)、ASEC…
AhnLab EDR を活用した Akira ランサムウェア攻撃の事例検知 Posted By ATCP , 2025년 02월 14일 Akira は比較的新しく登場したランサムウェア攻撃者であり、2023年3月から活動している。他のランサムウェア攻撃者と同じく組織に侵入したあとファイルを暗号化するだけでなく、機密情報を窃取して交渉に使用する。実際に以下のような2024年の統計でも、Akira ランサムウェアによる被害企業の数が上位を占めている。 攻撃者はランサムウェアを通じて組織のシステムを暗号化したあと、交渉のための Tor Web サイトを案内するが、要求事項が満たされない場合、攻撃の過程で窃取した機密情報を公開することもある。実際に攻撃者が運営する Tor Web サイトでも、被害企業が公開され続けている。 初期侵入方式としては、マルチファクター認証(MFA)が適用されていない VPN…
AhnLab EDR を活用した USB で伝播する韓国国内コインマイナー配布事例の検知 Posted By ATCP , 2025년 02월 12일 1. 概要 コインマイナーは、主に仮想通貨をマイニングするためにユーザーのコンピューターの CPU と GPU 資源を密かに使用し、これによってコンピューターの性能が低下する。コインマイナーは、主にフィッシングメール、不正な Web サイト、システムの脆弱性などを通じて配布され、このマルウェアに対する解析は ASEC Blog でも紹介したことが[1](韓国語にて提供)ある。今回の記事では、前の投稿で解析したコインマイナーの不正な振る舞いを、当社…
RDP Wrapper を活用した Kimsuky グループの持続的な脅威 Posted By ATCP , 2025년 02월 11일 AhnLab SEcurity intelligence Center(ASEC)は、過去に「PebbleDash と RDP Wrapper を悪用した Kimsuky グループの最新の攻撃事例の解析」 [1](韓国語にて提供)レポートを通じて PebbleDash バックドアと、自主製作した…
Andariel 攻撃グループが活用する RID Hijacking 攻撃手法 Posted By ATCP , 2025년 02월 04일 ASEC(AhnLab SEcurity intelligence Center)は、Andariel 攻撃グループが侵入プロセスで不正なファイルを利用し、RID Hijacking 攻撃を実行することを確認した。 RID Hijacking は、一般ユーザーやゲストアカウントのように制限された権限を持つアカウントの RID(相対識別子)値を、管理者のように高い権限を持つアカウントの RID…
MS Windows の圧縮ヘッダ(CAB)を悪用したバッチファイル(*.cmd)マルウェア、ModiLoader(DBatLoader)の拡散に注意 Posted By ATCP , 2025년 01월 17일 2024年12月、AhnLab SEcurity intelligence Center(ASEC)は、当社のメールハニーポットを通じて MS Windows の圧縮ヘッダ(CAB)を悪用したバッチファイル(*.cmd)型のマルウェアが配布されていることを確認した。 このマルウェアは ModiLoader(DBatLoader)と呼ばれ、発注書(PO)として配布されていた。 過去と異なる点は、*.cmd(バッチファイル)拡張子を使用しているが、実際には CAB 圧縮ヘッダフォーマットを悪用してマルウェアを作成したあとで実行する…
広告ページを通じて拡散している DigitalPulse Proxyware Posted By ATCP , 2025년 01월 16일 AhnLab SEcurity intelligence Center(ASEC)は最近、フリーウェアのソフトウェアサイトの広告ページを通じて Proxyware がインストールされていることを確認した。最終的にインストールされる Proxyware は Netlink Connect 証明書によって署名されているが、分析の結果、過去に Proxyjacking…
情報窃取型マルウェアの LummaC2、偽の CAPTCHA ページを通じて拡散中 Posted By ATCP , 2025년 01월 16일 ASEC(AhnLab SEcurity intelligence Center)では、貼り付け(CTRL+V)機能を活用して配布される DarkGate マルウェアを紹介したことがある。 貼り付け(CTRL+V)機能によりコマンド実行を誘導するフィッシングメールに注意 この事例では、MS Word ファイルに偽装した HTML 添付ファイル(フィッシングメール)の閲覧を通じてマルウェアを配布する方式が使われたが、最近は偽の…
AhnLab EDR を活用した Play ランサムウェア攻撃の事例 Posted By ATCP , 2025년 01월 08일 Play ランサムウェアは、Balloonfly または PlayCrypt とも呼ばれ、2022年6月に初めて確認されて以来、現在までに世界中で300以上の組織を攻撃したとされている。ファイルを暗号化した後に「.PLAY」拡張子を追加するのが特徴であり、最近まで活発に活動している。他のランサムウェア攻撃者と同様に、システムを暗号化する前に情報を窃取して被害者を脅迫し、Web サイトで攻撃された企業のリストを公開している。 Palo Alto Networks 社の Unit42 のレポートによると、Play…
